SQUID 2.5 или 2.6?

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Sova
старшина
Сообщения: 444
Зарегистрирован: 2006-09-13 14:10:59
Откуда: Цхинвал-Москва
Контактная информация:

SQUID 2.5 или 2.6?

Непрочитанное сообщение Sova » 2007-06-05 12:45:51

Собственно вопрос в теме
Что лучше ставить?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-06-05 12:48:03

А в портах 2.5 ещё есть?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Sova
старшина
Сообщения: 444
Зарегистрирован: 2006-09-13 14:10:59
Откуда: Цхинвал-Москва
Контактная информация:

Непрочитанное сообщение Sova » 2007-06-05 13:10:45

есть

Код: Выделить всё

/usr/ports/www #cd /usr/ports/www/sq
sqstat/             squid25/            squidclients/       squidpurge/         squidview/          squishdot/
squid/              squid_radius_auth/  squidguard/         squidtimes/         squirm/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-06-05 13:30:06

Смотри сам:
# portversion -vl "<" | grep squid
squid-2.5.14_4 < needs updating (port has 2.6.13)
Мысль ясна?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Sova
старшина
Сообщения: 444
Зарегистрирован: 2006-09-13 14:10:59
Откуда: Цхинвал-Москва
Контактная информация:

Непрочитанное сообщение Sova » 2007-06-05 14:42:51

да
будем ковырять прозрачный прокси

А кто может показать конфиг на 2.6? Хоть "рыбу". На сайте описывается 2.5 а тут 2.6
Или там нет принципиальной разницы? за исключением того что в 2.5 писалось три строчки, а в 2.5 одна

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-06-05 15:19:31

Sova писал(а):да
будем ковырять прозрачный прокси

А кто может показать конфиг на 2.6? Хоть "рыбу". На сайте описывается 2.5 а тут 2.6
Или там нет принципиальной разницы? за исключением того что в 2.5 писалось три строчки, а в 2.5 одна
Там вроде 2-е строчки.

Код: Выделить всё

http_port IP:3128 transparent
always_direct allow all
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Sova
старшина
Сообщения: 444
Зарегистрирован: 2006-09-13 14:10:59
Откуда: Цхинвал-Москва
Контактная информация:

Непрочитанное сообщение Sova » 2007-06-05 15:52:52

Особо внимательно пока не вглядывался, может быть....

Аватара пользователя
Sova
старшина
Сообщения: 444
Зарегистрирован: 2006-09-13 14:10:59
Откуда: Цхинвал-Москва
Контактная информация:

Непрочитанное сообщение Sova » 2007-06-06 10:51:52

Squid собирался с параметрами:
delay_pools
Ident
arp_acl
Icap
kqveve
Путем изучения конфига и поисков в инете пришел к примеру к такому конфигу:

Код: Выделить всё

# указываем то что он прозрачный
http_port 3128 transparent   

# squid не будет кешировать динамически генерируемые страницы (поисковые сервера,  некоторые другие серверы и чаты), а будет напрямую перенаправлять запрос серверу.
hierarchy_stoplist cgi-bin ?


# эти две строки примерно аналогичны предыдущей, но касательно кэша... то есть если  каким-либо данные странички попали в кэш (ну например работал сквид без #предыдущей строчки некоторое время), то они немедленно удаляются из кеша.
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

# сколько оперативной памяти сквид может забрать под свои нужды. По умолчанию стоит 8 мегабайт, что хватит лишь при очень слабой загрузке (правда у меня только 512.
cache_mem 128 MB

maximum_object_size 2000 KB
# максимальный размер объектов, которые будут сохранены на диск. По умолчанию стоит  4096 килобайт

maximum_object_size_in_memory 1000 KB
# максимальный размер объектов, которые будут сохранены в кэше. По умолчанию стоит 8 килобайт.

cache_dir ufs /var/cache 2048 64 256
# указывает сквиду, где сохранять кешируемые файлы. (под кэш у меня отдельный раздел /var/cache)/ Указывает отдать под кеш 20048 мегабайт и создать 64 и 256 соответственно каталогов 1го и 2го уровня.

refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern .		0	20%	4320
# в этих трех строках мы указываем сколько времени в минутах объект в кеше #считается свежим и какой процент объектов оставлять с последнего обновления.

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localnet src 192.168.0.0/24
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Icq_port port 5190          # icq
acl Irc_port port 6667          # irc
acl MSN_port port 1863          # msn messager
acl CONNECT method CONNECT
# Здесь с помощью acl мы задаем localhost, локальную сеть, порты на которые мы #разрешим выходить программам через наш прокси. Также указываем manager протокол #cache_object, используемого для управления и мониторинга кеша
# acl CONNECT method CONNECT (надо не надо?)
включает поддержку проброски соединения с помощью команды протокола CONNECT.
acl sova arp XX:XX:XX:XX:XX:XX      
acl user1 arp XX:XX:XX:XX:XX:XX
acl user2 arp XX:XX:XX:XX:XX:XX                
acl user3 arp XX:XX:XX:XX:XX:XX
с помощью acl...arp указываем МАС адреса сетевых карт пользователей, которым мы в дальнейшем разрешать/запрещать доступ к интернету. вместо XX:XX:XX:XX:XX:XX указываем МАС адрес сетевой карты компьютера пользователя. (Иногда полезно бывает).

acl stop_files url_regex -i .mp3$ .vqf$ .rpm$ .avi$ .mpeg$ .mpe$ .mpg$ .qt$ .ram$ .rm$ .raw$ .wav$ .mov$ .ogg$ .exe$ .com$
здесь мы указываем расширения файлов которые мы запретим для закачки.
acl StopWWW dstdomain "/usr/local/etc/squid/stopWWW.acl"
здесь указываем файл в котором указываем адреса сайтов на которые нельзя ходить юзерам. файл имеет такой вид 
.zaycev.net
.rmp.ru
.berkova.net
.sexmovies.ru
.mp3real.ru
.erovideo.ru
.muzudar.ru
это как бы подборка сайтов sex содержания и с mp3, т.к. в stop_files мы не закрыли архивы, а на некоторых сайтах лежат mp3 с расширением например rar, и пользователи могут закачивать музыку потом меняя расширение у файлов, поэтому я решил запрещать сами сайты. 
http_access allow sova
http_access deny stop_files
http_access allow user1
http_access allow user2
http_access allow user3
Здесь мы разрешаем с помошь http_access allow доступ до интернета, а используя http_access deny запрещаем выкачивать stop_files с расширениями указанными выше. Обратите внимание что разрешение доступа до интернета для пользователя sova стоит выше запрета на закачку stop_files. Это сделано для того чтобы на пользователя sova не действовал запрет не закачку stop_files, а на остальных пользователей которым разрешен доступ до интернета указанным после запрета на stop_files этот запрет действует. 
http_access allow CONNECT Icq_port
http_access allow localnet Icq_port
http_access allow CONNECT Irc_port
http_access allow localnet Irc_port
http_access allow CONNECT MSN_port
http_access allow localnet MSN_port
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
В этих строках разрешаем использования метода CONNECT для локальной сети на Icq_port,Irc_port,MSN_port, разрешаем доступ maneger доступ до localhost. Запрещаем использование всех портов кроме Safe_ports, запрещаем метод CONNECT на все порты кроме SSL_ports, и в конце все запрещаем. Знак “!” используется как НЕ, т.е. если дословно http_access deny !Safe_ports запретить http доступ НЕ Safe_ports. 

http_reply_access allow all
# Разрешаем ответы на все запросы. 

visible_hostname proxy
это имя будет упоминаться в сообщениях об ошибках.  

icon_directory /usr/local/etc/squid/icons
Указываем католог с иконками 


error_directory /usr/local/etc/squid/errors/Russian-koi8-r
Указываем католог с шаблонами страниц ошибок на нужном языке и в нужной кодировке, в нашем случае язык русский в Koi8-r кодировке 
Что так а что не так? Что может лишнее а что добавить?

Аватара пользователя
Dog
лейтенант
Сообщения: 723
Зарегистрирован: 2006-09-21 10:34:36
Откуда: Kharkiv, Ukraine
Контактная информация:

Непрочитанное сообщение Dog » 2007-06-08 12:54:16

Вроде как по рассылкам и форумам мелькали рекомендации при сборке убирать kqueue, с этим параметром большие закачки рвались. Хотя может в какой-то из последних сборок этот баг и пофиксили.
Oh my God, they killed init! Bastards!

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Непрочитанное сообщение f0s » 2007-06-09 9:27:26

правильно ли я понимаю, что при прозрачном прокси нельзя юзать аутентификацию лдап? если домена самба pdc+ldap
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35056
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-06-09 9:29:12

при прозрачном прокси - вообще нельзя юзать аутентификацию.
Убей их всех! Бог потом рассортирует...